1 (1)
TJÄNSTESKRIVELSE
Sociala nämndernas förvaltning
Marie Carlsson - bi901
E-post: [email protected]
2015-02-11
Dnr: 2014/957-IFN-012
Individ- och familjenämnden
Kopia till
Granskning av IT-säkerhet
Förslag till beslut
Individ- och familjenämnden godkänner yttrande över kommunrevisonens
rapport: Granskning av IT-säkerheten inom Sociala nämndernas förvaltning.
Ärendebeskrivning
Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till
verksamhetssystemen:
• Procapita HSL (system för patientjournaler)
• Procapita IFO (system inom individ och familj)
• Pulsen Combine (system inom äldre- och funktionshinderområdet)
Granskningen är riktad mot äldrenämnden, individ- och familjenämnden,
nämnden för personer med funktionsnedsättning samt kommunstyrelsen.
Följande svar lämnas gemensamt till kommunrevisionens rapport.
Sociala nämndernas förvaltning har, i en skrivelse den 20 januari 2015, lagt
fram förslag till beslut.
Bilagor
Individ- och familjenämnden AU 5 februari 2015 (2015-02-05)
Yttrande över kommunrevisionens granskning av IT säkerhet inom SNF
Revisionsrapport Granskning av IT-säkerhet
Revisionsrapport Granskning av IT-säkerhet
Revisionsrapport Granskning av IT-säkerhet
Skickad av: Teresia Kjellgren - aq339
TJÄNSTESKRIVELSE
1
Diarienr
2015-01-20
Sociala nämndernas förvaltning
Marie Carlsson och
Ulf Ranestedt (Stadsledningskontoret)
2014/386-ÄN-012
2014/270-NF-012
2014/957-IFN-012
2014/1021-KS
Till
Äldrenämnden
Individ- och Familjenämnden
Nämnden för Personer med funktionshinder
Kommunstyrelsen
Svar på kommunrevisonens granskning av IT-säkerheten inom
Sociala nämndernas förvaltning
Inledning
Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till
verksamhetssystemen:
• Procapita HSL (system för patientjournaler)
• Procapita IFO (system inom Individ och Familj)
• Pulsen Combine (system inom äldre- och funktionshinderområdet).
Granskningen är riktad mot ovanstående nämnder samt Kommunstyrelsen. Följande
svar lämnas gemensamt till Kommunrevisionens rapport.
Stadens informationssäkerhetsstrateg bedriver just nu ett arbete med att revidera
befintlig riktlinje för informationssäkerhet. Arbetet inkluderar även att skapa underliggande instruktioner som ska fastställa stadsövergripande krav och nivåanpassa dem
kopplat till informationsklassificering. Innehåll i respektive instruktion hänvisas till
respektive kommentar nedan. Hela ramverket är planerat att fastställas under första
kvartalet 2015.
Iakttagelser och kommentarer
1. Avsaknad av dokumenterade rutiner för hantering av behörigheter
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
regelverk för åtkomst till system och nätverk. Hela ramverket är planerat att fastställas
under första kvartalet 2015.
Dokumenterade rutiner finns inom Sociala nämndernas förvaltning och bedöms
uppfylla rekommendationerna.
2. Användare som slutat har kvar behörigheter i verksamhetssystem
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
regelverk för åtkomst till system och nätverk och instruktionen kommer att inkludera
regelverk för behörighetsrevideringar. Hela ramverket är planerat att fastställas under
första kvartalet 2015.
Användare som slutat är nu avslutade i systemen och den periodiska genomgången av
samtliga tilldelade behörigheter är genomförd efter granskningstillfället.
Västerås stad
2 (3)
3. Avsaknad av regelverk för hantering av programförändringar
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer inkludera regelverk för ändringshantering. Hela ramverket är planerat
att fastställas under första kvartalet 2015.
En rutin för att verkställa, testa , godkänna och övervaka programförändringar är nu
framtagen och innehåller de kontroller och aktiviteter som rekommenderas.
4. Logguppföljning genomförs inte i samtliga system
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
regelverk för spårbarhet och loggning. Den instruktionen kommer att inkludera övergripande regelverk för systematisk logguppföljning. Hela ramverket är planerat att
fastställas under första kvartalet 2015.
Loggning kommer därefter att ske systematiskt och återkommande i samtliga system
så fort verksamhetsspecifika instruktioner är klara.
5. Testning och godkännande av programförändringar saknar spårbarhet
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer även att inkludera regelverk för testning och godkännande. Vidare
kommer även en instruktion för basnivå IT-säkerhet att inkludera regelverk för test
och verifiering. Hela ramverket är planerat att fastställas under första kvartalet 2015.
All testning ska dokumenteras och vara spårbar och godkännanden inför driftsättning
ska kommuniceras skriftligt till leverantören och sparas. Detta finns nu dokumenterat i
en ny verksamhetsspecifik rutin för att verkställa, testa , godkänna och övervaka
programförändringar.
6. Ofullständig modell för systemsäkerhetsanalys
Kommentar:
Stadens informationssäkerhetsstrateg har genomfört en revidering av stadens metod
för informationsklassning (systemsäkerhetsanalys) och genomfört utbildningsinsatser
med berörda parter. Kopplat till detta pågår ett arbete med att utveckla en krav-/
kontrollkatalog som ska kopplas till informationsklassificering. Tidplanen för att
fastställa en första version av kontrollkatalogen är första kvartalet 2015.
7. Inaktuell systemsäkerhetsanalys för Vård och omsorg
Kommentar:
Befintlig systemsäkerhetsanalys ska revideras under första kvartalet 2015.
Västerås stad
3 (3)
8. Avsaknad av regler kring distansarbete
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
märkning och hantering av information. Instruktionen kommer att inkludera regelverk
för distansarbete. Hela ramverket är planerat att fastställas under första kvartalet 2015.
Sociala nämndernas förvaltning kommer att ta fram verksamhetsspecifika regler för
distansarbete. Arbetet är planerat att genomföras under andra kvartalet 2015.
9. Ofullständig kontinuitets- och avbrottsplanering
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
kontinuitets- och återställningsplanering. Hela ramverket är planerat att fastställas
under första kvartalet 2015.
Reservrutiner för Pulsen Combine finns hos verksamheten. Existerande avbrottsplaner
hos leverantören har presenterats för Kommunrevisionen.
10. Leverantörers åtaganden följs inte upp
Kommentar:
En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera
basnivå för IT-säkerhet och instruktionen kommer att innehålla ett avsnitt rörande
styrning och kontroll av utomstående driftleverantör. Hela ramverket är planerat att
fastställas under första kvartalet 2015.
Sociala nämndernas förvaltning överväger att genomföra en granskning av en av
leverantörerna under fjärde kvartalet 2015.
Västerås stads revisorer
SENASTE NYTT Nr 34-2014
Granskning av IT-säkerhet inom Sociala nämndernas förvaltning
Granskningens inriktning
Iakttagelser och slutsatser
Revisorerna har låtit EY granska om ITsäkerheten är ändamålsenlig i verksamhetssystemen ProCapita HSL, ProCapita
Combine och Pulsen Combine. Systemen
används inom vård och omsorgsverksamheten vid Sociala nämndernas
förvaltning (SNF).
Västerås stad har flera pågående initiativ
som syftar till att stärka IT-säkerheten.
Exempelvis är en gemensam rutin för
logguppföljning inom SNF på väg att tas
fram och stadens modell för systemsäkerhetsanalys uppdateras, liksom riktlinjer för
informationssäkerhet.
Huvudsakliga iakttagelser:
#
Iakttagelse
Prioritet
1.
Avsaknad av dokumenterade rutiner för hantering av behörigheter
Hög
2.
Användare som slutat har kvar behörigheter i verksamhetssystem
Hög
3.
Avsaknad av regelverk för hantering av programförändringar
Hög
4.
Logguppföljning genomförs inte i samtliga system
Hög
5.
Testning och godkännande av programförändringar saknar spårbarhet
Medel
6.
Ofullständig modell för systemsäkerhetsanalys
Medel
7.
Inaktuell systemsäkerhetsanalys för Vård och omsorg
Medel
8.
Avsaknad av regler kring distansarbete
Medel
9.
Ofullständig kontinuitets- och avbrottsplanering
Medel
10.
Leverantörers åtaganden följs inte upp
Medel
Huvudsakliga rekommendationer:
# Rekommendation
1.
Prioritet
Tydliggör riktlinjerna för informationssäkerhet avseende styrning av åtkomst till system och nätverk, samt
dokumentera rutiner för att skapa nya/ta bort/förändra behörigheter i verksamhetssystemen, samt för att
periodiskt granska behörigheter
Hög
2.
Ta bort behörigheterna för de användare som slutat och se över rutinerna för borttag av användare
Hög
3.
Tydliggör riktlinjer för informationssäkerhet avseende anskaffning, utveckling och underhåll av programvaror, samt dokumentera rutiner för att beställa, testa, godkänna och övervaka programförändringar
Hög
4.
Ta fram en gemensam rutin för logguppföljning, för att kontinuerligt kontrollera åtkomsten till
patientuppgifter
Hög
5.
Se över rutinerna relaterat till test och godkännande av programförändringar för att säkerställa spårbarhet
Medel
6.
Uppdatera modellen för systemsäkerhetsanalys
Medel
7.
Uppdatera systemsäkerhetsanalysen och den tillhörande sårbarhetsanalysen för förvaltningsobjektet
8.
Upprätta regler för distansarbete
Medel
9.
Genomför översyn av rutinerna för kontinuitetsplanering och genomför en granskning av leverantörernas
avbrottsplanering
Medel
10.
Följ kontinuerligt upp avtalade leverantörsåtaganden
Medel
Vård och omsorg
2014-10-24
Medel
Fortsättning på nästa sida
Vår slutsats är att det krävs en rad åtgärder för att öka IT-säkerheten.
Rekommendationer
I granskningsrapporten lämnas ett stort antal rekommendationer.
Här följer de åtgärder vi ser har högst prioritet för att stärka IT-säkerheten.
Vi rekommenderar att individ- och
familjenämnden, nämnden för funktionshindrade och äldrenämnden:
► Dokumenterar rutiner för att skapa nya/ta
bort/förändra behörigheter i verksamhetssystemen och för att periodiskt granska
behörigheter.
► Tar bort behörigheterna för de användare
som slutat och ser över rutinerna för borttag av användare
► Dokumenterar rutiner för att beställa,
testa, godkänna och övervaka programförändringar.
Vi rekommenderar att kommunstyrelsen:
► Tydliggör riktlinjerna för informationssäkerhet avseende styrning av åtkomst
till system och nätverk.
► Tydliggör riktlinjer för informationssäkerhet avseende anskaffning,
utveckling och underhåll av
programvaror.
► Uppdaterar modellen för systemsäkerhetsanalys.
► Upprättar regler för distansarbete.
► Tar fram en gemensam rutin för logguppföljning, för att kontinuerligt kontrollera åtkomsten till patientuppgifter.
► Genomför översyn av rutinerna relaterat
till test och godkännande av programförändringar för att säkerställa
spårbarhet.
► Uppdaterar systemsäkerhetsanalysen
och den tillhörande sårbarhetsanalysen
för förvaltningsobjektet Vård och omsorg.
► Genomför översyn av rutinerna för
kontinuitetsplanering och genomför en
granskning av leverantörernas
avbrottsplanering.
► Inför rutiner för att kontinuerligt följa upp
avtalade leverantörsåtaganden.
Revisionen har överlämnat revisionsrapporten till Individ- och familjenämnden, Nämnden för
funktionshindrade, Äldrenämnden samt Kommunstyrelsen för yttrande senast den 2015-02-27
och för kännedom till proAros styrelse och Konsult och Service styrelse.
Rapporten är publicerad på stadens hemsida www.vasteras.se.
För ytterligare information, kontakta revisionens ordförande Lars Luttropp tfn: 021-12 38 88 eller
revisionssekreterare A Björnson tfn: 021-39 29 21
Från: Björnson, Annette
Skickat: den 28 oktober 2014 16:02
Till: Sociala nämndernas förv Myndighetsbrevlåda; Stadsledningskontoret Myndighetsbrevlåda
Kopia: proAros myndighetsbrevlåda; Konsult-Service Myndighetsbrevlåda
Ämne: Revisionsrapport Granskning av sIT-säkerhet
Bifogade filer: Rapport 2014 IT-säkerheten inom SNF slutlig.pdf; Senaste nytt 2014 - 34 IT-säkerhet sista.pdf
Till
Individ- och familjenämnden
Nämnden för funktionshindrade
Äldrenämnden
Kommunstyrelsen
Västerås stads revisorer har fastställt revisionsrapporten " Granskning av IT-säkerhet inom Sociala
nämndernas förvaltning ”.
Översänder här revisionsrapporten ” Granskning av IT-säkerhet inom Sociala nämndernas förvaltning”
med hemställan om yttrande senaste den 2015-02-27. Bifogar även Senaste Nytt nr 34 med en sammanfattning.
Yttrandet ska skickas till kommunrevisionen ([email protected]) och till
kommunstyrselsen .
Rapporten är skickad för kännedom till proAros styrelse och Konsult och Service styrelse.
På uppdrag av revisionen
Med vänlig hälsning
Annette Björnson
Revisionssekreterare
Västerås stad revisorer
721 87 Västerås
Mobil 076-5690343
Telefon direkt: 021-39 29 21
Besöksadress: Stadshuset, rum D 540
P Tänk på miljön innan du skriver ut detta meddelande
file:///G|/...ammanträden/Individ-%20och%20familjenämnden/2015/02%20-%20Februari/Ut%20på%20vasteras.se/p_22_Meddelande.htm[2015-02-13 08:21:42]